IPSec VPN与SSL VPN的应用比较_SSL VPN 与 IPSec VPN 的比较

IPSec VPN与SSL VPN的应用比较
安全地远程访问企业的资源并不是一个刚出现的IT难题。只不过随着工作方式的改进、新的计算和通信设备的出现，今天的终端用户更方便地进行远程访问的愿望更加强烈。
如今的公司需要支持雇员全天候远程办公，或者部分时间在公司、部分时间通过家里的计算机工作，也需要支持商业伙伴在他们自己公司的防火墙后面访问本公司的资源，或者不需要使用任何客户端软件而通过使用宽带或者在公路边通过Wi-Fi接入的工作方式。这些使用者都希望能非常方便地在任何地点、任何时间、使用任何设备，而且不用客户端软件就访问他们所需要的网络资源。
用户现在正通过一种IT部门无法掌控的环境访问公司的资源。例如，通过家用的PC或者机场的热点，或者用户利用现代的无线技术，包括通过正在增加的公用无线热点和公司局域无线网，以及某些建立在公司网络内部的其他访问点。而且，有些公司不仅把他们的网络延伸到移动的雇员，而且也延伸到商业合作伙伴、顾问和全球范围内的客户那里。由于这些应用使得安全问题日益突显出来。
另外，也有一些经济方面的因素要考虑。因为公司总在寻找一种经济的方式，他们希望充分利用互联网以节约使用专线的开销。他们希望在家工作的雇员能为他们使用的电缆调制解调器（Cable Modem）付费，而不是为拨号接入付费。
IPSec VPN曾是惟一的选择。但是，现在一种新的基于加密套接协议层（一种为电子商务提供安全保障的协议）的VPN——SSL VPN出现了，这是一种比较好的远程接入和企业外网VPN解决方法。而基于本文下面将要谈到的原因，SSL VPN正在逐渐取代IPSec VPN作为远程访问的方式，而IPSec VPN将回到它原来的定位——站点到站点VPN（site-to-site）。
本文将分析SSL VPN和IPSec VPN之间的异同，并解释为什么SSL VPN是远程接入和企业外网的一种较好的选择。
IPSec VPN：最适合站点到站点通信
典型的VPN是基于IPSec协议由网络设备提供商（如Cisco、Nortel）提供的，最初是用来为企业各个部门之间提供站点到站点通信的。由于公司将用户扩展到包括远程访问，于是不得不扩充IPSec的标准，或者修改厂商实现的协议。
IPSec通过在互联网上创建“隧道”为公司的防火墙或者网关外的用户提供到企业内部资源的连接。它要求软硬件兼容，要求“隧道”两端几乎只能是同一个提供商的软件。采用IPSec，企业的IT要指定“隧道”两端使用的技术，但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术，这就限制了通过IPSec VPN建立企业外网的应用。
在远程方面访问，当只创建有限的几个隧道时，IPSec能满足基本的需要。但是，如果有数千个远程用户分布在不同的地点，分发和管理客户端软件就是一件非常麻烦，也很费时的事情。
以上只是列举了几个IPSec并不是远程接入和企业外网最好选择的理由中的几个。具体来说，IPSec有以下一些不足:
1．管理IPSec的客户端费用高
采用IPSec VPN，IT部门必须为每一个需要接入的用户安装VPN客户端，也许还要修改桌面设置，因此，支持费用很高。
有些终端用户是移动的，这不像IPSec VPN最初设计主要连接远程办公地点。今天的用户希望能在不同的台式机和网络上自由移动。如果采用IPSec VPN，就不得不为每一个台式机提供客户端。这些客户端因为环境和网络的不同而配置各异。那些要求从各个不同的地方访问公司的用户需要时常修改配置，这无形中提高了支持费用。
部署IPSec VPN后，如果用户没有预先在他的计算机上安装客户端，他将不能访问他需要的资源。这就意味着对于办公地点经常变动的雇员，当他们想从家里的计算机、机场提供的电脑或者任何其他非他本人的计算机上访问公司的资源时，他或者不能成功，或者必须打电话给公司需求帮助。
对于在家工作或者部分时间在家、部分时间在公司工作的人来说，IPSec VPN要求公司为每一个雇员提供一台已经安装了客户端软件的家用电脑，或者为他们准备一个更贵的笔记本带回家。否则，公司将因为帮助这些雇员在家里的电脑上安装客户端软件花去不薄的费用。另外，如果用户使用XDSL或者Cable Modem，他因为没有固定的IP地址，必须更改配置。如果雇员家里的电脑上有防火墙（这普遍被视为宽带使用者应该安装的软件），这又将为IPSec VPN的使用添加新的障碍。一些IPSec VPN的产品如果不另开正确的端口，要穿过防火墙将非常困难，而由于这样IT部门不能控制，又会带来了另外的配置和安全上的问题。
2．远程接入和企业外网的安全风险
由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用。用户也许不能访问每一台服务器，但是他或她能够看到，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁，这些威胁必须提前预防。这些个人的风险会通过IPSec VPN变成企业风险，即企业承担着黑客使用远程IPSec VPN网络隧道非法访问企业内部网络的风险。
3．不易解决网络地址转换和穿越防火墙的问题
IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了IPSec客户端，但他仍然不能在其他公司的网络内接入互联网（例如，工作在客户处的咨询顾问），IPSec 会被那个公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。而这是一个烦人、花时间的事情，也会增加风险，这是许多公司不愿承担的。
同样的困难也出现在无线的热点。由于许多的公用热点使用NAT，非专业的IPSec使用者如果不寻求公司技术人员的支持，不去更改一些配置，常常不能建立连接。
4．不同IPSec供应商之间的互操作问题
由于缺乏标准，IT部门要建立VPN将不同的IPSec提供商提供的产品集成起来非常困难。比如，IT部门可能需要为合作伙伴和客户提供对公司的访问。经常发生的情况是，由于操作的复杂和集成方面的争论延误了开发新的客户。


图1 通过加密隧道提供远程访问的典型IPSec VPN方案


图2 远程访问企业资源的典型SSL VPN解决方案
SSL VPN：企业无法抵挡的诱惑
加密套接字协议层（SSL）作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注，而且它的使用正在增加。
Gartner副总裁和研究主任John Girard预言，“到2004年末，60％的企业用户将逐渐使用瘦客户端VPN，而不是胖客户端来访问公司的数据。和IPSec VPN相比，建立在SSL上的VPN更容易部署和支持，更适合像机场提供的Internet接入点和家用PC这样不用管理的设备，也非常容易连接新出现的移动和无线平台。”
另外，一份题为《VPN和防火墙产品》的研究报告预计，到2005年，SSL VPN产品的销售额将达到87.1千万美元。
不过，日益增加的对SSL VPN的关切并不能降低对传统IPSec VPN解决方案价值的认可。IPSec是作为站点到站点的VPN事实上的标准建立的。如果这就是你公司全部的需求，IPSec完全可以胜任。另一方面，如果你希望实现一个安全的远程访问或者是一个企业外网的解决方案，你应该考虑SSL VPN解决方案，或者作为补充，或者完全替代。